Добрый день,Есть IPSec VPN (ipsec-l2l) тоннель между двумя офисами, построенный на ASA 5505. Канал 30/50 Мбит. Пользователи (25 клиентов) с офиса А ходят по RDP в офис Б через этот самый тоннель. Случилось, что скорость - или же пока непонятно, снизилась, т.е. работать удаленно на ТС сервере стало проблематично (виснет курсор!)) происходит задержка на реакцию.
Тесты iperf проходят, свои 25-30 мбит канал отдает. Ситуация с обеих сторон.
Подскажите, с чего начать разбор полетов? Какие инструменты применить, посмотреть что за трафик ходит по тоннелю, отследить вообщем данную проблему.
#sh crypto ipsec sainterface: outside
Crypto map tag: MAP_3DES, seq num: 50, local addr: xxx.xxx.xxx.xxxaccess-list 135 permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: yyy.yy.yy.yyy#pkts encaps: 723210, #pkts encrypt: 847288, #pkts digest: 847288
#pkts decaps: 684085, #pkts decrypt: 684085, #pkts verify: 684085
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 723210, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 124078, #pre-frag failures: 0, #fragments created: 248156
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 20551
#send errors: 0, #recv errors: 0local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yy.yy.yyy
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 9FC6612Finbound esp sas:
spi: 0x88D29273 (2295501427)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 5, crypto-map: MAP_3DES
sa timing: remaining key lifetime (kB/sec): (3989409/12085)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x9FC6612F (2680578351)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 5, crypto-map: MAP_3DES
sa timing: remaining key lifetime (kB/sec): (4019970/12076)
IV size: 8 bytes
replay detection support: Y
ну вообщем все ок!
crypto ipsec df-bit clear-df
Если это не выделенный под VPN канал, то его могут забить другим трафиком (см. торрент). Может вы канал меряли отключив эту "нагрузку", вот вам и показало 25-30 мбит.